Appearance
OAuth2接入简介
OAuth2是非常流行的单点授权方式,用户不需要在第三方平台创建账号密码,仅需要跳转到单点登录服务即可完成授权
提示
本平台采用标准的授权码模式(authorization code),详细的协议介绍可以参考:RFC 6749。
1.接入流程
以下为本平台OAuth2的接入流程
调用流程为:
- 用户访问
三方系统-前端,如果当前用户没有登录态则构建OAuth2授权链接并跳转到此链接进行登录 点击查看 - 用户使用
会众云的账号密码进行登录,登录成功后重定向返回三方系统-前端并携带参数:code、state 三方系统-前端获得回调参数code、state后,调用三方系统-后端的内部登录接口进行登录三方系统-后端接收到请求后,使用code、state请求会众云-后端并获得用户信息- 获得用户信息后,
三方系统-后端创建账号并登录(如果已有账号则直接登录) - 登录成功后,
三方系统-后端将登录凭据返回给三方系统-前端,则用户登录成功
2.注意事项
以下为接入注意事项,需要仔细阅读,否则可能导致授权失败
2.1 可信域名
设置可信域名后,将仅允许通过可信域名发起单点登录(除域名外,同时支持IP+端口)
注意
可信域名需要与重定向域名完全一致,以下为设置示例:
设置示例1
假设重定向访问链接为:https://apaas.0codepaas.com:8080/apaas/oauth2/login
| 设置可信域名 | 是否正确 | 原因 |
|---|---|---|
| apaas.0codepaas.com:8080 | ✅ | 完全一致 |
| apaas.0codepaas.com | ❌ | 端口不一致 |
| apaas.0codepaas.com:8081 | ❌ | 端口不一致 |
| other.0codepaas.com:8080 | ❌ | apaas与other不一致 |
| *.0codepaas.com:8080 | ❌ | 不支持泛域名 |
设置示例2
假设重定向访问链接为:https://192.168.1.1:2020/apaas/oauth2/login
| 设置可信域名 | 是否正确 | 原因 |
|---|---|---|
| 192.168.1.1:2020 | ✅ | 完全一致 |
| 192.168.1.1 | ❌ | 端口不一致 |
| 192.168.1.1:8080 | ❌ | 端口不一致 |
| 192.168.1.100:2020 | ❌ | IP地址不一致 |
2.2 IP白名单
设置IP白名单后,将仅允许白名单内的IP调用接口(多个IP使用英文”,”逗号分隔)
特别说明
IP白名单非常重要,只有在IP单内的IP才能访问接口,建议一定要设置此字段
2.3 成员敏感信息
出于数据安全性考虑,默认都不会返回成员敏感信息,仅当勾选后才会返回